- Met openbaar gemaakte Google API-sleutels kunnen aanvallers onbeperkte Gemini AI-verzoeken uitvoeren
- Ontwikkelaars lijden ernstige financiële verliezen als gevolg van ongeautoriseerde toegang tot de AI-infrastructuur
- Hardgecodeerde inloggegevens verheffen publieke identificatiemiddelen tot actieve authenticatietokens voor Gemini AI
Ontwikkelaars worden geconfronteerd met ernstige gevolgen, zoals onthuld Googlen API-sleutels worden misbruikt om zonder toestemming toegang te krijgen tot Gemini AI, wat tot aanzienlijke financiële verliezen leidt, waarschuwen experts.
Beveiligingsonderzoekers van CloudSec ontdekte dat de hoofdoorzaak van deze incidenten ligt in de onbedoelde verhoging van openbaar beschikbare API-sleutels naar live Gemini AI-referenties.
Veel ontwikkelaars hebben, in navolging van de officiële richtlijnen van Google, al lang sleutels voor diensten als Maps of Firebase in openbare applicaties ingebed. Ze hadden nooit verwacht dat die sleutels toegang zouden krijgen tot de AI-infrastructuur.
Het artikel gaat hieronder verder
Het vergroten van openbaar beschikbare API-sleutels is de belangrijkste reden
Eén geval betrof een solo-ontwikkelaar wiens startup bijna instortte nadat een aanvaller een openbaar beschikbare sleutel had gebruikt om Gemini AI te overspoelen met afsluitverzoeken.
De ontwikkelaar trok de sleutel binnen enkele minuten na ontvangst van een factuurwaarschuwing in, maar vanwege een vertraging in de rapportage in het factureringssysteem van Google Cloud waren de kosten al opgelopen tot $ 15.400.
Op dezelfde manier ondervond een Japans bedrijf desondanks ongeveer $128.000 aan ongeoorloofd gebruik van de Gemini API firewallIP-beperkingen op niveau.
Een klein ontwikkelingsteam in Mexico zag ook een verhoging van $82.314 in slechts 48 uur, een dramatische stijging van 455x ten opzichte van de gebruikelijke uitgaven.
“Dit probleem kwam niet voort uit nalatigheid van de ontwikkelaar; de implementaties waren in overeenstemming met de voorgeschreven richtlijnen van Google”, zegt Tuhin Bose, cybersecurity-onderzoeker bij CloudSEK.
Hij legde uit dat de architectuur niet-gevoelige identificatiegegevens effectief omzet in authenticatietokens, waardoor een systemische kwetsbaarheid in talloze applicaties ontstond.
Het onderzoek van CloudSEK identificeerde 32 blootgestelde Google API-sleutels verspreid over 22 Android-applicaties met een gecombineerde installatiebasis van meer dan 500 miljoen gebruikers.
Tot de getroffen apps behoren bekende namen als OYO Hotel Booking App, Google Pay for Business, Taobao en ELSA Speak.
Onderzoekers bevestigden de blootstelling aan gegevens in ELSA Speak toen ze toegang kregen tot door gebruikers ingediende audiobestanden via de Gemini Files API.
Door het beveiligingslek kunnen aanvallers onbeperkte Gemini API-aanroepen doen, toegang krijgen tot gevoelige gebruikersgegevens en de API-quota van de organisatie uitputten.
Het kan ook aanhouden tijdens app-updatecycli, waardoor zowel ontwikkelaars als eindgebruikers ernstig worden getroffen.
Ontwikkelaars die het voorbeeld van Google hadden gevolgd, hebben nu onbewust live-referenties voor krachtig AI-hulpmiddelen zonder kennisgeving of aanmeldingsprompts.
Technische maatregelen zoals het intrekken van sleutels en het beperken van projectrechten kunnen de blootstelling verminderen.
De financiële en operationele impact op ontwikkelaars is echter aanzienlijk, wat erop wijst dat de huidige praktijken voor het beheer van API-sleutels en AI-integraties onmiddellijke herevaluatie vereisen.
Het blootleggen van hardgecodeerde inloggegevens toont de risico’s aan die gepaard gaan met het aannemen van achterwaartse compatibiliteit voor moderne, op AI gebaseerde clouddiensten.
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
